WordPressのセキュリティ対策の一環として Secure WordPress プラグインを利用してみることにしました。
Secure WordPress は導入も設定も簡単な上、「ログイン失敗時に出るエラーメッセージを無効化」できたり、「<head> 内に表示されるWordPressのバージョンを非表示」にできたり、プラグインやテーマファイルを格納しているフォルダへのセキュリティ対策ができるなど、個人ブログ、企業サイト問わず是非入れておきたいプラグインではないかと思います。
Secure WordPress のダウンロード
管理画面のプラグイン新規追加ページより Secure WordPress を検索するか、以下のサイトよりプラグインファイル一式をダウンロードします。プラグインを有効化すると、主に以下の機能が利用できるようになります。
(1)ログイン失敗時に出るエラーメッセージを無効化
WordPress管理画面へのログインに失敗すると、「アカウントかパスワードに間違っているのでは?」いうメッセージを表示して教えてくれます。このメッセージ表示を無効化する場合は、設定項目の一番上の「エラーメッセージ」にチェックを入れます。
(2)<head>内に表示されるWordPressのバージョンの非表示
WordPressをインストールしてフロント画面のソースコードを見れば分かりますが、現在使用しているWordPressのバージョン情報が <head> 内に表示されています。[php] <meta name="generator" content="WordPress 3.3.1" />
[/php] このバージョン情報を表示しないように設定変更するためには「WordPress バージョン」にチェックを入れます。
(3)プラグインやテーマファイルを格納しているフォルダへのセキュリティ対策
WordPressのプラグインファイルは wp-content/plugins/ に、テーマは wp-content/themes/ フォルダにそれぞれファイルが格納されます。サーバ側の設定にもよるかもしれませんが、この plugins/ や themes/ ディレクトをに直接アクセスしてみると中に入れてしまいますので、index.php を生成することで不正なアクセスを防止します。
index.php の項目で「/plugins/ と /themes/ に index.php ファイルを作成し、ディレクトリ一覧を表示しないようにします。」にチェックを入れます。
(4)WordPress本体やプラグイン、テーマなどのバージョンアップ通知を「管理者のみ」に制限
「コア更」プラグイン更新」「テーマ更新」の各項目にチェックを入れることで、管理者にのみに更新通知を飛ばすように設定することが可能です。Secure WordPress ではまだまだ他にも設定できる項目がありますが、総じて、自分で運用するブログに限らず、特に企業向けのサイトに導入しると効果があると思います。
コメントを残す